之前有小伙伴提问到,关于容器到底要测评哪些内容,也就是测评对象的选取。
首先要区分的是容器与容器集群这两个概念。容器集群概念可参考该篇文章。
不使用容器扩展要求情况
当仅使用容器技术时,采用安全通用要求,无需使用容器安全扩展要求。例如某网站系统,在服务器上运行了docker 容器,应用系统以及数据库均跑在容器中。此时我们将运行docker容器的宿主机作为主机测评对象,数据库以及中间件就测评容器中使用的相关软件。
如下图所示:该系统使用docker 搭建了一个web应用系统,我们可以分别进入对应的 docker 去查询它的一些配置情况
中间件 ngxin 1.25.5
数据库 mysql 5.7
此时将上述中间件、数据库分别使用安全通用要求进行测评。
但是在容器中运行的相关内容,要注意它们是否已做容器数据卷持久化操作。如果MySQL容器删了,等于删库跑路?那当然不是
容器数据卷是用于在容器间共享持久性数据的一种机制。容器数据卷可用于存储代码、配置文件、日志文件等数据,使得容器可以在不同的容器间共享这些数据。容器数据卷的内容会持久保存,不受容器生命周期影响,即使容器被删除,数据仍然保留在数据卷中。并且可以不用进入容器,直接在主机本地修改相应内容,容器内部文件也会同时同步。(例如要求日志留存6个月以上,这就需要将容器内的日志目录内容同步到本地来)
可以通过 docker inspect 容器id 命令查看
ps:如果没有上述Mounts,则代表未使用该技术
配置过后,我们就能在本地查看到对应的日志信息了
此时即使删除对应的容器,数据也会留下
使用容器扩展要求情况
确认是否使用容器集群技术,一般询问运维人员即可,如果使用了该项技术,我们前期调研收集的内容就有 容器集群,管理平台,镜像仓库,dockerfile扫描工具,镜像扫描工具 等等,详情可参考等保2.0测评 — 容器安全扩展要求(安全计算环境)。
除了引用容器扩展要求外,同时还需对整个集群内涉及的各类系统进行安全通用要求测评。例如容器管理平台,还需要作为系统管理软件进行测评,容器宿主机(节点) 当作主机测评对象、 容器管理平台作为系统管理、软件测评对象、 集群网络作为网络测评对象、 业务应用软件(可能是独立容器镜像, 也可能是多个容器镜像共同组成)作为应用测评对象。
这里引用《网络安全等级保护容器安全要求》中的内容,指标选取则按照下述要求。
各场景与等级保护技术要求的映射关系
要求项与适用场景对照表
要求项与对象对照表
